民進黨丟臉丟到國際😱(糟糕)(累) Google在日前罕見地向全球網路社群公開宣告中華電信與行政院是不可信賴的對象。 由於中華電信所簽發的憑證合規性不達標，且未兌現改進承諾，將自8月1日起，Chrome瀏覽器將不再預設信任中華電信新發行的TLS憑證。 8/1起谷歌將暫時停簽發台灣中華電信TLS網站憑證。 這是「核彈級的數位信任大爆炸，國家資安大醜聞」。 如果憑證沒辦法順利取得，我們會有將近7成的使用者遇上麻煩，甚至就連政府官網可能也無法使用。 此次憑證信任被撤銷的影響層面相當廣泛，預計將近7成的使用者在明年3月以前都可能遭遇相關問題。包括行政院、經濟部、財政部等政府機關的官方網站，以及金融業、證券業等重要產業都將受到波及。 「這影響到民眾日常的網路使用，包括網路轉帳、股票下單、網站訂票等功能都可能受到影響。」 為什麼中華電信爛成這樣？原因在官僚文化＋低薪。自從民進黨上台後，就像其它國營事業一樣，中華電信被拿來酬庸用，除了獨董杜奕瑾，蘇志勳(陳菊前工務局副局長)、賴勁麟(前黨立委)、魏惠珍(柯建銘前助理)，分任子公司的總經理、董事長、以及協理。這些人沒有半個是電信網路專業，全部都是來領乾薪的，本來處長、協理都是由內部的人逐漸升上去，專業還能運作，但是民進黨除了董事、總經理，就連處長、協理都可以空降，他們占滿所有位子，外行領導內行，久了當然會出事。另外又因為長年低薪，人補不滿，有後台的輕鬆賺，沒後台有能力的也不願意進去浪費生命，一個issue一年解不完是很正常的現象，事實上不要說一年，一輩子解不完都有可能。 除了中華電，民進黨詐騙政府把台電從優良賺錢企業經營到長年虧損，一賠就是五六仟億；中油也賠掉近700億，半個股本不知不覺就沒了；數位部出現了多元宇宙/民主網絡，沒有半點外交專業的林昶佐去當芬蘭大使，整個賴政府都在去專業化、去菁英化，不出事才奇怪。 針對此事件的處理過程，賴府院綠媒數發部與中華電信有意淡化問題的嚴重性。 憑證信任，政府高喊數位信任與全民防詐，結果連基本的憑證管理都做不好；毫無責任感，得過且過。 工具人（陳培哲）賴府的陳世凱不適任交通部長，外行領導內行不專業領導專業。 Google宣佈今年8月1日起，將不再預設信任中華電信簽發的TLS憑證，意思是8/1號之後，當我們要用Chrome瀏覽很多政府網站的時候(e.g., 健保卡網路服務、電子化政府入口、報稅系統)，可能會看到「你的連線不是私人連線」的畫面。 如果網站使用的是8/1之後發出來的憑證，Google會用顯眼的紅色畫面警告使用者，密碼個資可能會被竊取，不建議繼續連線，使用者也可能無法順利造訪這些網站，影響的平台包括Windows、macOS、Android。 理論上，中華電信的憑證，如果不被Chrome信任，使用者還是可以手動操作，下載憑證然後匯入系統，強迫Chrome去接受。 但實際上，網站成千上萬，相關企業伺服器設備以十萬計，使用者數量以百萬計，如果每一個點都要手動匯入N個憑證，會超級麻煩，要耗費無數時間人力，而且資安問題也會非常大 正因爲如此，所以Google才需要跟簽發憑證的單位直接對接，確認彼此技術能力，確保一切合法合規，建立起信任關係之後，Chrome就會直接「相信」對方發出來的憑證，不必勞煩使用者自行確認 我們平常使用各種網路服務，之所以體感行雲流水，沒有被憑證搞到神經耗弱，是因為背後已經有機制先驗證過。 如今中華電被剝除信任，除了可能會造成天大的麻煩以外，也就是說等於Google否定中華電的專業能力，是很嚴重的技術降評 為什麼Google會出此決策？Google說原因是「中華電過去一年行為模式令人擔憂」，以及「無誠信、無法達到預期、侵蝕了信任，這表示中華電信耍廢耍了一年以上，面對問題不認真/無法處理，隨便回覆就想交差了事。 例如中華電信想用「負責人職位調動未交接」，來跟Google解釋延遲的原因，這招騙騙台灣內部的老百姓還可以，放到國際上誰理你？

搜尋引擎谷歌（Google）日前宣布，八月起，其Chrome瀏覽器將全面撤銷中華電信的憑證信任。未來民眾只要瀏覽中華電信簽發憑證的網站，都將出現「不安全」的蓋版顯示畫面。如此，不僅讓民眾陷於資安危機，也讓台灣以不光彩的方式「被世界看見」。 在不良網站流竄下，網頁「安全憑證」是網路世界一道重要的屏障。由於中華電信的公股背景，在其憑證信任遭撤銷後，連政府機關的數位安全簽章都會被Chrome認定為「不安全」 中華電信作為國內電信業龍頭，竟會犯下如此低級的錯誤，令人難以想像。此事暴露，該公司的管理問題並非一朝一夕，政府卻因人事酬庸，坐視其發生。近年中華電信爭議事件頻傳，在在顯示其專業性已受到政治侵蝕；憑證信任遭到撤銷，只是百孔千瘡之一環罷了。 中華電信「酬庸文化」近年盛行，備受詬病。集團內多個子公司或轉投資事業多為綠營非專業人士。從管理看，中華電信儼然已由「公營事業」變成黨的「黨營事業」；外行領導內行，豈能不出問題？ 中華電信在「酬庸文化」薰染下，專業日漸退化。黨執政九年，不斷強調「資安即國安」，只是拿來操作反中抗中，其實質卻是如此不堪。世界如此看見台灣，算得上國恥了！ https://udn.com/news/story/7338/8793626?from=taboola-explore_ch2

幹‼️要不是看到立委的貼文‼️政府不敢告訴你‼️ ［核彈級數位信任危機——中華電信以及行政院憑證被Google官方認定「不可信賴」！］⚠️ Google 宣布自 7 月 31 日起， Chrome 瀏覽器將全面撤銷對中華電信及其政府憑證鏈（行政院 GTLSCA）的預設信任，未來將不再信任中華電信和NetLock頒發的TLS憑證。這是一場「核彈級的數位信任大爆炸」，不僅是單純的技術問題，更牽涉到國家資安與全民信任的重大危機❗️

暑假出國中華電信讓你血拚連線不會腿! 中華用戶來來來! 現在除了有輕量化網路使用者1G上網7日149元的方案（日、韓、港、澳），一整個就是大推，便宜又好用（限數位門市與APP申請），又有限時優惠，6/27~7/4中午12點前推出快閃方案!!! 亞洲10國（日、韓、港、澳、新、馬、泰、印尼、菲、柬）六天吃到飽上網只要588, 一天吃到飽只要98元！ 出國使用中華電信手機漫遊上網的好處是 ✅不需拆換SIM卡也不用多帶分享器 ✅不需要設定APN ✅到當地手機重新開機即可立刻上網 ✅可熱點分享給親友使用 ✅吃到飽就算看影片也不用管流量 588吃到飽快閃方案的申請方式，只限定在網路門市申請（點選網址即可），按一按出國就能使用，一整個就是超方便的啊~ https://goo.gl/e9REwa #出國上網呷飽飽一天只要98摳 #種花電信這夏最划算

成大資安中心主任李忠憲教授告訴你，為什麼所有中國製的手機和智慧家電設備通通不能買不能用： 為什麼禁止華為等中國製手機 有學長點名我要寫篇文章來回應「公部門禁陸資通訊產品 杜紫宸：政府why bother?」的說法，其實我真的不太想寫，這個人沒有任何網路的基本概念，可能連網路分成幾層都不知道，這樣回應起來好像有些不太公平，但是為了民眾知的權益，只好勉強來寫這篇文章，反正從反服貿二類電信之後，什麼連署、掃地、聯絡、粗重等等的工作都是我在做，最弱的人大概也只能做這樣的事情，雖然杜點名要資安專家回應他，其實他問的這些問題，任何一個有點網路知識的高中生或大學生都能夠回答他。 杜紫宸舉例說，如果他使用的是華為手機，可是他的4G電信服務商是中華電信，請問他的手機如何自我傳送資訊，中間透過中華電信，告知華為，他的動態、名錄和聯絡信息？ 如果是用華為手機，手機暗藏後門，只要有任何的網路連線，不管是中華電信、遠傳或台灣大哥大的4G服務，或是無線網路 Wi-Fi 等等下層的網路連線，手機上層的這些應用程式就可以利用下層網路隨時隨地傳送資料到中國的資料庫。 管理手機、終端設備與資通訊系統資安的人，基本上不會自找麻煩，如果在系統之內可以做的事情，盡量不會去限制一般的用戶。為什麼要禁止像華為這樣中國製的手機在政府機關裡面使用？因為即使在機關裡面針對華為手機的用戶做嚴格的網路管控，在內網流量分析和利用資安設備管制後門所造成的可疑連線之後，這些手機一樣會在內網裡面收集資料，然後利用沒有管制像中華電信的商業用4G服務傳送到中國去。 這就是網路技術的基本特性，應用層可以向下多工，利用各種不同網路層的連線傳送資料，所以只在機關的內部網路資安設備進行的管理措施，沒有辦法防止洩密，也是因為這樣的原因才必須管制華為這樣中國製的手機。 至於第二個問題通訊錄上都是Nancy、Henry、David，請問華為背後的中共國安部門，如何辨别誰是誰？ 杜先生不曉得落後時代有多久，駭客攻擊裡面有一種叫做進階持續性威脅 (Advanced Persistent Threat)，這種攻擊出現應該有十年了吧，什麼是 APT？簡單的說就是針對個人或特定組織所作的複雜且多方位的網路攻擊。潛伏攻擊的時間可能長達幾週、幾個月甚至幾年，內藏後門的手機比駭客的攻擊更為簡單方便，手機上的任何資料，不止通訊錄、通訊過程、電子郵件內容、甚至談話的語音或影像紀錄都可以備份經由暗門傳送到中國的資料庫。華為背後的國安單位不只知道Nancy、Henry、David是誰，電話號碼，家裡住哪裡，他們還可以知道你跟他們是什麼關係，長的是什麼樣子，今天你和誰吃飯，在手機上打了什麼屁，傳什麼樣的新聞故事病毒給你最有用，更不用說手機拍的照片影像紀錄也都會被傳送到中國的資料庫。像杜先生這樣的重點人物，中國一定是用最高規格的尺度來加以對待，分配到的頻寬和儲存空間一定是比別人多，所以可能會更加可怕。 雖然杜先生問的是專家大大，我這個專家小小跳出來回應，可能會令人感到失望。但是趁這個機會我還是要呼籲台灣的民眾，「千萬不要貪小便宜買中國製的手機或智慧家電設備」，人工智慧的時代「資料比錢更有用」。最近知道一個案例，有一個CEO等級朋友的家人買一個中國製的智慧家電放在家裡，感覺自己的網路變慢了，經過網路流量分析以後才發現，家裡的語音和影像一天24小時沒有間斷地往中國的資料庫傳送，自己過了好幾個月的透明人間的生活，「便宜的最貴」、「資料就是金錢」、「小心中國製的資通訊設備就在你身邊」。

*連結之前.. 一定要 "先上官網.. 或事先打電話 165 反詐騙" 查證..* (shocked face)(doh!)(moon sweat) 謹供參考.. 【詐騙】衛福部的紓困補助郵件？當心釣魚連結！你的網銀可能會被登入 發佈日期: 2022-09-16 https://tfc-taiwan.org.tw/education_cases/8175 (.) *申請新冠肺炎紓困補助？* *首先最重要的一點，MyGoPen 過去的查核報告中，解釋過行政院 2021 年 6 月 24 日公布的「紓困 4.0 精進方案」，已在 2021 年截止，現在打著「紓困 4.0 」名號要民眾盡早申請的簡訊或電子郵件，都是釣魚網站。* (.) *破解假衛福部官網* *檢視釣魚郵件附的網址，會發現常常出現「 vvgov.tw 」、「 aigov.tw 」或「 skgov.tw 」等「 gov.tw 」結尾的連結，目的就是要讓民眾誤以為是政府網站，放心填寫個人資料。但這些其實都是詐騙網頁，因為政府網站的網址最後面會是「 .gov.tw 」，而非「 gov.tw 」。* (minus sign) *舉例來說，衛福部是「 www.mohw.gov.tw 」，勞動部是「 www.mol.gov.tw 」，內政部是「 www.moi.gov.tw 」。政府網站的網址 gov 前面都會有「.」，「.gov.tw 」才是真正的網頁。* (.) *除了依網址判斷，也可以透過檢視網頁內容完整度，來確認是否為正確的政府網站。* *以這次的案例來說，正常的衛福部網站，點擊下方焦點新聞的連結，會出現正常的新聞稿內容；但如果你進的是釣魚網站，頁面上雖然同樣有焦點新聞的選項，但無論點選哪一個，都會進到要你填寫手機認證的頁面，如果沒注意，手機號碼就有可能外洩。* (.) *釣魚網站在內容上也常會出現錯字或簡體字，這次案例中甚至出現「 09****2652 已成功申請」、「在線申請人數 1310 」等內容，這些是一頁式詐騙網站常見的手法，政府網站並不會出現這類訊息，因為涉及個資問題。* (minus sign) *如果拉到網頁底部，會發現釣魚網站雖然有列出衛福部的地址，但沒有市話或傳真號碼，為的就是避免民眾自行打電話去衛福部詢問真偽。* (.) *如果點了假衛福部網站會怎樣？* (minus sign) *根據「趨勢科技 防詐達人」實測，如果按照釣魚網站的步驟走，輸入完電話認證後會要你填寫身分資料，並要求附上身分證正反面照片；詐騙集團最終目的是要你的「銀行卡資料」或「網銀資訊」，藉此騙取錢財。* (minus sign) *如果輸入使用者代號和密碼，手機會收到「驗證碼」，這並不是衛福部在驗證你的手機，而是詐騙集團正使用你提供的使用者代號和密碼，試圖登入你的網銀，因此銀行會發簡訊給你，確認這是本人的操作。民眾如果輸入驗證碼，代表授權詐騙集團使用你的銀行帳戶，可能很快就會發現自己銀行內的錢被轉走了。* (minus sign) *總結來說，遇到可疑的簡訊、電子郵件或電話等，可以透過網址、網頁內容完整度等方式確認是否為釣魚網站，或事先撥打 165 反詐騙詢問；如果已經遭到詐騙，請盡早到警局報案作筆錄，暑假期間詐騙猖獗，民眾一定要提高警覺，避免個資外洩或錢財流失。* (.) 發布單位：刑事警察局預防科 *撥打165反詐騙諮詢專線需要通話費用嗎?受騙報案除可撥打165外，還有其他方式嗎 ?* https://www.cib.npa.gov.tw/ch/app/faq/view?module=faq&id=18233&serno=8306e5f3-6b7a-45e9-9d21-af24d4fac9af *一、遭遇詐騙洽詢相關事宜，可撥打165反詐騙諮詢專線諮詢、檢舉或報案，以市話撥打無須負擔通話費用，以行動電話撥打時，除中華電信門號免付費外，其他電信公司通話費用則為每分鐘新臺幣1元。* *二、遭詐騙欲報案時，除直接撥打165外，另可利用165官方網站進行網路報案，透過筆錄預製系統，民眾於網路報案時可先行製作初步範本，減少民眾停留警察機關時間，並由專責人員轉介至民眾方便前往之派出所，接續完成筆錄製作等相關手續。* *(資料更新日期：110年4月14日)* (.) MyGoPen查證參考： (*)詐騙】紓困4.0精進方案？申請要填網銀帳號密碼？冒用政府單位的釣魚網站 https://www.mygopen.com/2022/07/fake-relief.html (*)【詐騙】防疫專案線上申請網站？每人補助3000元？冒用衛福部的釣魚網站！切勿上傳任何證件與個資 https://www.mygopen.com/2022/04/fake-mohw.html (*)【詐騙】防疫紓困領取貼文？匯款就幫你申請跑程序？沒辦好還讓你荷包失血！ https://www.mygopen.com/2021/06/Epidemic.html

不聽不知道，知道嚇一跳！ 請傾聽李鴻源部長對能源政策和高鐵安全問題的專業分析！ 一向主張施政不分藍綠、專家處理問題的前內政部長李鴻源部長，4/7在中天辣晚報提醒國人： 第一：高鐵地層下陷情況嚴重，雲林段每年下陷6.5公分，政府要嚴肅看待、儘速處理！ 第二：他任內封了高鐵沿線一千口深水井，以減緩地層下陷。但蘇貞昌說民進黨政府「超前部署」，已挖了1250口井，來賓質疑是否會影響高鐵安全？ 第三：他任內設計了六座總價185億的廢水回收再利用廠，如果完成，每天可供應285萬噸乾淨用水供一千萬國人使用！任內已完成一座，讓中鋼無缺水之虞！ 只是他已離開政府7年，還看不到第二座廠！民進黨在前瞻計畫裡更只編列了2千萬做回收水！ 第四：即使是推動綠能有成的德國，也要用20年等綠能發電能夠補足廢核後產生的電力缺口，才敢廢核！民進黨廢核後產生電力缺口，2025前綠能完全補不上，只能燃煤！ 第五：全世界各國除了日本和產天然氣的國家，對天然氣發電的上限只敢到20%，就是怕天然氣供應出問題（這次長賜號塞住蘇伊士運河就是證明），全世界只有民進黨政府把天然氣發電提高到50%！ 以上五點我們都知道，更重要的是民進黨不怕國人知道，當然更不鳥！ 但最讓我們驚訝的是，有一點民進黨政府從來不講，國內也鮮少人提及，本人也是第一次聽到的： 第六： 由於中火已是全世界碳足跡最大的發電廠之一，如果因為民進黨廢核後增加燃煤發電，勢必再嚴重擴大傷害人民健康、再推高我國的碳足跡，到2030年中華民國可能會被課【8000億碳稅】！Made in Ttaiwan代表要被課重稅，國內產業要被迫離開台灣！ 加上我們不在RECP之列，國內產業也要被迫離開台灣！ 我們震驚的是，我們沒有想到，民進黨錯誤的能源政策造成： 【中華民國可能會被課8000億碳稅！】 【中華民國產業要被迫離開台灣！】 我們絕對要因為民進黨蔡政府錯誤的能源政策「傷害人民健康」、「加速產業外移」而憂心！唯今之計只有讓民進黨政府在2022和2024全面下架，以避免中華民國產業外移、國人健康受到戕害！ 感謝李鴻源部長對能源政策和高鐵安全問題「暮鼓晨鐘」、「擲地有聲」的專業分析！

台大教授葉丙成臉書留言 【Zoom 好危險、好可怕？！】 最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。主要的原因是，我對 Zoom 台灣帳號的收費比美國帳號貴，拎北覺得很不爽。所以當 Zoom 被譙的時候，我也懶得說什麼。 但這段期間，網路上對於視訊會議資安問題的報導沸沸揚揚，甚至還變成反對數位教學的人士用來反對線上補課的論述。而且所謂的「資安威脅」，我看到有很多點是過度解讀，甚至有的說法已經到了反智的地步。 有的學校還因此被教育局處長官要求不能用 Zoom，原先的數位準備全部被打亂。 這一切實在讓我看不下去。 所以雖然我知道跟風向不同，我想我還是要說一下我的看法。 先看一下國外知名科技網站 Tom's Guide 針對 Zoom 的資安問題所做的報導，結論是： "We disagree with that decision, because we think Zoom is safe to use for meetings that aren't highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there's not much risk in using Zoom." 結論就是，除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人，不然對於教學、或是一般商務的會議而言，用 Zoom 沒有太大風險 (quote: not much risk in using Zoom）。 那大家一直在傳的資安問題，到底是怎麼回事？這裡面有很多，坦白說真的很瞎，我先抓幾點來說： 1. Zoom Booming： 不是說有什麼 Zoom Bombing 很可怕，用 Zoom 開會上課到一半，會出現有駭客駭入會議突然丟色情照片擾亂。Zoom 也太糟糕了，居然會被人這樣駭入，太糟糕了！ 等等，你有沒有去了解過 Zoom Bombing 是怎麼來的？Zoom 的會議室可以設密碼。但為了方便大家連進來開會，大部分使用者都省略不設密碼，直接把會議室號碼/連結傳給大家。有的人把會議室號碼/連結流出給不相干的人，不相干的人進來亂。這叫做「駭入」？ 靠杯喔，你在外面租「小樹屋」的房間開會，門有鎖可以鎖而你不鎖，被無聊人士闖進來丟色情圖片，這叫被駭入？你叫小樹屋要負責？！ 以臉書社團為例，你開一個臉書社團，然後你自己不設成私密而設公開讓每個人都可以進得來。然後有人進來亂貼直銷廣告、色情照片，你怎麼不說是臉書資安有問題被人「駭入」？明明就是你自己社團權限沒管控好，不是臉書害你被駭啊。 那為什麼你 Zoom 要開屬於你們自己人的會議，然後你都不設密碼，也沒有告誡大家會議室號碼不要給不相干的人。然後被不相干的人闖進來，你才在哭說是軟體有問題害你被駭？ 我也是傻眼了。 根本就是使用者貪圖方便不設會議室密碼啊！ （據說 Zoom 已經自動生成密碼了，以後這種使用者自己不設防的問題應該就會解決） 2. 安裝檔有惡意軟體： Tom's Guide 上面有說到，有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式，造成系統的問題。但 Tom's Guide 也說，這個責任不是 Zoom 的錯，因為任何人都有可能製作出這種惡意的安裝檔給別人下載安裝。 許多人說這是資安問題，我又傻眼了。 每個人都應該要有最基本的資安素養：要安裝軟體，要從官方網站下載，不要從非原廠網站下載來源不明的程式安裝。 Zoom 你不去人家官方網站下載來裝，你偏偏要偷懶從人家給你的來源不明的安裝檔去安裝，結果電腦免費幫人挖礦，你說是誰的錯？如果你就是有這種糟糕習慣的人，你用其他軟體也會幫人家免費挖礦，不會只有 Zoom。 這根本就是使用者偷懶不去官方下載啊！ 要安裝軟體，請從官方網站下載。這是常識，OK？ 3. 聊天室點了惡意連結，導致系統被駭中毒： 講到這個，我又傻眼了。來源不明的連結不可以點，這你不知道嗎？你在 Line、在 Chrome、在 IE、在 Safari 點了來源不明不該點的連結，會不會中毒？你都知道來源不明連結點了會出問題，那你為什麼在 Zoom 聊天室還要去點來源不明的連結，然後出事了才說是 Zoom 資安有問題被駭？ 這根本是使用者手癢亂按不明的連結啊！ ------------ 最後，我再來談談真正最重要的資訊安全原則是什麼。 真正的資訊安全，就是要假定任何地方都可能出錯，有機密性的東西都完全不該在網路上跟人家談。 你今天用 Meet 或 Team 跟別人視訊會議，就會安全？我也是笑笑了。你今天跟人家視訊會議，說的任何話，都能夠被人錄製桌面而錄下來，事後流出去。 所以真相是，只要你是用視訊會議或網路軟體跟人談事情，不管你是用哪一家的，你都沒有真正的資訊安全。真正的安全是，機密的事情要跟真人實際面對面的口頭談，才會安全。 喔是嗎？你確定對方身上沒有偷裝錄音機？你要不要搜身一下才能確定真正安全？ 如果你是做高科技技術的公司、或是高階政府單位，有高機密性的資訊，原本就不應該用任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統，相對比較安全。話說 Webex 是誰開發的？就是 Zoom 的創辦人當年所開發的，他離開 Cisco 之前去創立 Zoom 之前，是副總裁。國際大企業過去十幾二十年都用這個人的東西，這個人有沒有問題，這是個參考指標。 任何軟體都有洞，你個別搜尋各家軟體公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「資安漏洞」，你都會看到每個軟體都有洞。越多人用的軟體，越有機會被大家找出洞來，也越有機會讓洞被補起來，而變得越安全。 以最多人用的微軟為例，這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎？ Zoom 這段期間因為許多人大量使用，所以被看到的洞自然就比較多（雖然有很多洞我認為根本上是使用者習慣的問題），之後就看他們是否有補起來。現在的觀察是，我看他們最近的更新滿頻繁，看起來是有努力在把一些洞補起來。 ------------ 最後的最後，你問我說我會不會改用其他會議軟體？ 從資訊安全的角度來說，如同國外網站說的，並沒有太大的風險。但在台灣，卻被炒作到好像用了電腦就完了。更別說當中很多的風險，都是使用者自己資安習慣不好，用其他軟體也會遇到的。 我的看法是，在台灣，Zoom 的資安問題，已經不是技術問題，而是政治問題。 Zoom 的創辦人來自中國，但他的主要資金來源還是美國的資本市場，Zoom最大外部股東是Emergence Capital，持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。 有人提到，如果中國政府要求 Zoom 提供使用者資料，他們敢不從嗎？ Google 當初退出中國就是這個原因，因為公司的決策要求的是公司最大利益。在大陸，目前大多數的人用的是阿里巴巴跟微信的會議軟體，用 Zoom 的很少。美國跟其他國家市場，才是 Zoom 的主要利基來源。如果 Zoom 在大陸同意把使用者資料交給政府，他在美國的市場絕對雪崩，這也是為什麼當初 Google 寧可全面退出大陸也不把資料給大陸官方。 董事會成員在乎的是公司的最大利益。Zoom 的主要股東是來自美國資本市場，這些人不會由著公司去做傷害公司利益的事。這是為什麼前述的假設狀況，出現的機會不大。當然，我也有可能是錯的。 但同樣的問題，為什麼大家會認為如果中國政府要求，微軟就不會就範呢？特別微軟在大陸投入很多的資源，也有很大的市場。微軟中國分公司就不會就範？我反而覺得微軟若不從，要冒的風險比 Zoom 大很多。 所以，我會繼續用。反正我的課程教學沒有什麼機密。真正有什麼很機密的事，還是來找我喝咖啡再當面聊吧！ 如果你有真正很機密的事情，我會勸你，別說 Zoom，其他的視訊軟體通通都不該用。那才是真正的安全！ 註：Tom's Guide 評論全文連結：https://bit.ly/2Rg3b8n （歡迎分享）

  時事 2021.05.26 05:58 【實聯資安陷阱多2】「疾管家」遭山寨版冒名　錯刷店家QR code損失大 文/ 劉文淵 攝影/ 賴智揚 翁睿坤  由民間公司開發的「防疫實聯衝衝衝」傳出民眾個資可能外洩外，中央流行疫情指揮中心本月20日也發出警訊，指有不肖人士冒用疾管署名義，成立冒牌社群誘使民眾加入。相對「防疫實聯衝衝衝」藏有漏洞，唐鳳推的「簡訊實聯制」安全性則沒有問題，但刑事局科技犯罪防制中心主任林建隆提醒，店家將QR Code張貼於店門外，務必不定期檢查，以防遭不肖人士更換，民眾掃描及傳送簡訊時也需注意是否真的傳到「1922」，以免連結到高額付費號碼，讓荷包大失血。  除了實體店面張貼的QR Code，網路或手機出現的QR Code更可能連結到惡意網站，不可不慎。資安專家Bf Chen指出，操作介面雖簡單也容易暗藏玄機，因智慧型手機有自動顯示預覽連結功能，當簡訊成功發送後，惡意連結將自動轉為網站預覽模式，傳送使用者的裝置資訊，駭客就可輕易取得對方的手機資訊。  防疫實聯衝衝衝系統有資安疑慮，22日晚間下架、停止服務。（翻攝畫面） 疫情升溫下的資安風險，除了實聯制，遠距上班問題也很大。曾發現臉書付款漏洞、刪除臉書創辦人祖克柏貼文、入侵高鐵購票系統，被封為「天才駭客」的張啟元，「洗白」後已投入資安工作，目前是新創資安公司「ZUSO如梭世代」的研究員，他提醒公司行號及一般員工，在家上班千萬注意，因為惡意駭客真的無所不在。  台灣駭客年會成立的漏洞回報平台，5月22日出現了資安警告。（翻攝畫面） 他告訴本刊，許多民間企業、政府機關為避免疫情擴散，要求員工在家上班，但透過家中網路與公司電腦系統連結，須考量很多資安問題，公司端系統伺服器應做好權限控管，如不同部門或不同職階的員工帳號，須事先規範與區別，限制登入的系統及可連線的範圍。  行政院政務委員唐鳳設計的「簡訊實聯制」，對疫情管控助益甚大。 為了讓員工在家上班能使用公司內部系統（如ERP）與資源，通常公司會提供虛擬私有網路（Virtual Priavte Netwrok，VPN）服務，讓員工在家登入後，使用如同在辦公室的網路環境，但除了以一般帳號、密碼識別員工身分，也應啟用雙重驗證（Two-Factor Authentication、2FA）機制加強管控。 更新時間｜2021.05.26 10:59 相關文章 【實聯資安陷阱多3】上網追劇、看謎片增資安風險　遠距上班3大重點防惡意病毒 【實聯資安陷阱多4】遠距教學4步驟保護孩童隱私　網購平台見2圖示安心買 【實聯資安陷阱多】遠距上班、網購藏危機　資安專家警告：恐掀駭客黑潮 【獨家】【實聯資安陷阱多1】「防疫實聯衝衝衝」使用人數破百萬　疑個資外洩急下架 推薦文章 

分享有關葉教授寫的Zoom,資安問題。雖然有些庶民用語，但還滿切實際的，給大家參考。 葉丙成教授寫的 【Zoom 好危險、好可怕？！】 最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。主要的原因是，我對 Zoom 台灣帳號的收費比美國帳號貴，拎北覺得很不爽。所以當 Zoom 被譙的時候，我也懶得說什麼。 但這段期間，網路上對於視訊會議資安問題的報導沸沸揚揚，甚至還變成反對數位教學的人士用來反對線上補課的論述。而且所謂的「資安威脅」，我看到有很多點是過度解讀，甚至有的說法已經到了反智的地步。 有的學校還因此被教育局處長官要求不能用 Zoom，原先的數位準備全部被打亂。 這一切實在讓我看不下去。 所以雖然我知道跟風向不同，我想我還是要說一下我的看法。 先看一下國外知名科技網站 Tom's Guide 針對 Zoom 的資安問題所做的報導，結論是： "We disagree with that decision, because we think Zoom is safe to use for meetings that aren't highly sensitive. For school classes, after-work get-togethers, or even workplace meetings that stick to routine business, there's not much risk in using Zoom." 結論就是，除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人，不然對於教學、或是一般商務的會議而言，用 Zoom 沒有太大風險 (quote: not much risk in using Zoom）。 那大家一直在傳的資安問題，到底是怎麼回事？這裡面有很多，坦白說真的很瞎，我先抓幾點來說： 1. Zoom Booming： 不是說有什麼 Zoom Bombing 很可怕，用 Zoom 開會上課到一半，會出現有駭客駭入會議突然丟色情照片擾亂。Zoom 也太糟糕了，居然會被人這樣駭入，太糟糕了！ 等等，你有沒有去了解過 Zoom Bombing 是怎麼來的？Zoom 的會議室可以設密碼。但為了方便大家連進來開會，大部分使用者都省略不設密碼，直接把會議室號碼/連結傳給大家。有的人把會議室號碼/連結流出給不相干的人，不相干的人進來亂。這叫做「駭入」？ 靠杯喔，你在外面租「小樹屋」的房間開會，門有鎖可以鎖而你不鎖，被無聊人士闖進來丟色情圖片，這叫被駭入？你叫小樹屋要負責？！ 以臉書社團為例，你開一個臉書社團，然後你自己不設成私密而設公開讓每個人都可以進得來。然後有人進來亂貼直銷廣告、色情照片，你怎麼不說是臉書資安有問題被人「駭入」？明明就是你自己社團權限沒管控好，不是臉書害你被駭啊。 那為什麼你 Zoom 要開屬於你們自己人的會議，然後你都不設密碼，也沒有告誡大家會議室號碼不要給不相干的人。然後被不相干的人闖進來，你才在哭說是軟體有問題害你被駭？ 我也是傻眼了。 根本就是使用者貪圖方便不設會議室密碼啊！ （據說 Zoom 已經自動生成密碼了，以後這種使用者自己不設防的問題應該就會解決） 2. 安裝檔有惡意軟體： Tom's Guide 上面有說到，有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式，造成系統的問題。但 Tom's Guide 也說，這個責任不是 Zoom 的錯，因為任何人都有可能製作出這種惡意的安裝檔給別人下載安裝。 許多人說這是資安問題，我又傻眼了。 每個人都應該要有最基本的資安素養：要安裝軟體，要從官方網站下載，不要從非原廠網站下載來源不明的程式安裝。 Zoom 你不去人家官方網站下載來裝，你偏偏要偷懶從人家給你的來源不明的安裝檔去安裝，結果電腦免費幫人挖礦，你說是誰的錯？如果你就是有這種糟糕習慣的人，你用其他軟體也會幫人家免費挖礦，不會只有 Zoom。 這根本就是使用者偷懶不去官方下載啊！ 要安裝軟體，請從官方網站下載。這是常識，OK？ 3. 聊天室點了惡意連結，導致系統被駭中毒： 講到這個，我又傻眼了。來源不明的連結不可以點，這你不知道嗎？你在 Line、在 Chrome、在 IE、在 Safari 點了來源不明不該點的連結，會不會中毒？你都知道來源不明連結點了會出問題，那你為什麼在 Zoom 聊天室還要去點來源不明的連結，然後出事了才說是 Zoom 資安有問題被駭？ 這根本是使用者手癢亂按不明的連結啊！ ------------ 最後，我再來談談真正最重要的資訊安全原則是什麼。 真正的資訊安全，就是要假定任何地方都可能出錯，有機密性的東西都完全不該在網路上跟人家談。 你今天用 Meet 或 Team 跟別人視訊會議，就會安全？我也是笑笑了。你今天跟人家視訊會議，說的任何話，都能夠被人錄製桌面而錄下來，事後流出去。 所以真相是，只要你是用視訊會議或網路軟體跟人談事情，不管你是用哪一家的，你都沒有真正的資訊安全。真正的安全是，機密的事情要跟真人實際面對面的口頭談，才會安全。 喔是嗎？你確定對方身上沒有偷裝錄音機？你要不要搜身一下才能確定真正安全？ 如果你是做高科技技術的公司、或是高階政府單位，有高機密性的資訊，原本就不應該用任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統，相對比較安全。話說 Webex 是誰開發的？就是 Zoom 的創辦人當年所開發的，他離開 Cisco 之前去創立 Zoom 之前，是副總裁。國際大企業過去十幾二十年都用這個人的東西，這個人有沒有問題，這是個參考指標。 任何軟體都有洞，你個別搜尋各家軟體公司的名字 Google, Microsoft, Line, Facebook, Apple 再加上「資安漏洞」，你都會看到每個軟體都有洞。越多人用的軟體，越有機會被大家找出洞來，也越有機會讓洞被補起來，而變得越安全。 以最多人用的微軟為例，這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎？ Zoom 這段期間因為許多人大量使用，所以被看到的洞自然就比較多（雖然有很多洞我認為根本上是使用者習慣的問題），之後就看他們是否有補起來。現在的觀察是，我看他們最近的更新滿頻繁，看起來是有努力在把一些洞補起來。 ------------ 最後的最後，你問我說我會不會改用其他會議軟體？ 從資訊安全的角度來說，如同國外網站說的，並沒有太大的風險。但在台灣，卻被炒作到好像用了電腦就完了。更別說當中很多的風險，都是使用者自己資安習慣不好，用其他軟體也會遇到的。 我的看法是，在台灣，Zoom 的資安問題，已經不是技術問題，而是政治問題。 Zoom 的創辦人來自中國，但他的主要資金來源還是美國的資本市場，Zoom最大外部股東是Emergence Capital，持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。 所以，我會繼續用。反正我也沒有什麼高機密在網路上跟人家說。真正有什麼很機密不方便在網路上說的事，就來找我喝咖啡再當面聊吧！ 如果你有真正很機密的事情，我會勸你，別說 Zoom，其他的視訊軟體通通都不該用。那才是真正的安全！ （歡迎分享）